繰り返し使えるセキュアコーディングスキルで左遷(そしてコンプライアンス達成)。
企業が業界の枠組みや政府の規制の範囲内にあることを確認するための最初の認証プロセスであれ、毎年の要件やレビューの一部であれ、最近ではほとんどすべての開発チームが何らかの形でコンプライアンス・トレーニングを採用しています。なぜなら、組織が基本的なコンプライアンス要件を満たすことができなければ、従業員は現実的に職務を遂行することができないからです。
コンプライアンスに関する規則が存在するのには理由があります。これらの規則が適用される分野で働く人は、関連するすべてのプロセスと手順、および適用されるすべての法律について、少なくとも基本的な理解を持っている必要があるからです。
コンプライアンスのトレーニングは重要ですが、義務付けられた最低限の要件を満たすだけでは、真のアプリケーションセキュリティを確保することはできません。これは、特に、セキュアなコーディングスキルを日々のワークフローに組み込もうとする開発者に当てはまります。ほぼすべての開発者が何らかの形でコンプライアンス・トレーニングを受けているにもかかわらず、67%の開発者が自分のコードに脆弱性を残すことが多いと認めています。
なぜ?
2年目となるSecure Code Warrior は、2021年12月にEvans Data Corpと共同で「開発者主導型セキュリティの現状調査、2022」を実施しました。グローバルで1,200人の開発者を対象に、セキュアコーディングの実践に関するスキル、認識、行動、およびソフトウェア開発ライフサイクル(SDLC)における影響と関連性の認識について調査しました。
コンプライアンス教育がなぜソフトウェアセキュリティの向上を達成できないかという点については、以前から言われている問題である。今回の調査は、この問題にスポットライトを当てたに過ぎない。
一方で、開発者は、アプリケーションやプログラムのコードを最初に書くときを含め、ソフトウェア開発プロセス全体にサイバーセキュリティを含めることで、新しい役割にステップアップすることを要求されています。しかし、安全なコードを書くこと、あるいはそれに影響を与える可能性のあるサイバーセキュリティの問題や脆弱性についてすべて学ぶことは、簡単なことではありません。この調査では、開発者の63%が安全なコードを書くことは難しいことだと回答しています。
安全なコードを書くことの難しさは、驚くべきことではありません。多くの高収入のサイバーセキュリティの仕事が実現されないのには理由があり、最後に数えたところでは、世界で350万人以上が募集されています。もしそれが簡単な仕事なら、誰もがその分野に飛び込んでいるはずです。脅威と戦い、コード内の脆弱性を排除する方法を学ぶことは困難であり、脅威の状況は常に変化しています。静的なコンプライアンス・トレーニングや1回限りの講習では、開発者が必要とする教育にはついていけませんし、提供することもできません。また、開発者が安全なコードを書くことや、コードの脆弱性を発見して修正するスキルを身につけることもできません。
コンプライアンスとセキュリティ教育は重要だが、異なるものである
組織は、コンプライアンス教育で何ができ、何ができないかを認識し、認識し始める必要があります。特に法律で義務付けられている場合は、コンプライアンス・トレーニングを放棄してはならない。また、特に(現在のトレーニング方法であっても)調査回答者の92%が、コンプライアンス関連の問題やセキュリティの枠組みについて少なくとも何らかのトレーニングが必要であると回答し、50%が重要なコンプライアンストレーニングの必要性を強調しているためです。
トレーニングに最も関心のあるコンプライアンス・フレームワークには、さまざまな業界に特化したものが含まれていますが、一般的なサイバーセキュリティ・フレームワークもいくつかリストアップされています。その中には、CIS Security Framework、PCI DSS、OWASP Top 10、MISRA C、ISO/IEC、HIPAA (Health Insurance Portability and Accountability Act) などのフレームワークが含まれています。
しかし、コンプライアンス研修でチェックボックスをチェックすることは、セキュアなコードを継続的に作成するための基盤を提供することと同じではないことを理解してください。
その代わり、コンプライアンス研修は、開発者のセキュアコーディングスキルを向上させる継続的な機会の一部として捉え、コンプライアンスサイクル以外でも繰り返し行うことで、開発者が日々安全なソフトウェアを作成し、リリースできるようにすることができます。優先順位をコンプライアンスの達成から、開発チームが継続的に学習してセキュアなコーディングを行えるようにすることにシフトする。開発者の能力開発に時間とリソースを投資することで、毎年行われるコンプライアンスに関するチェックボックス式の練習や試験を簡単にクリアできるようになり、全体的な生産性の向上にもつながります。
開発者主導のセキュリティに移行するにはどうすればよいのでしょうか。
開発者は、トレーニングは重要であると圧倒的に答えましたが、セキュアコーディングに関して長年受けてきたトレーニングのタイプに問題があるとしました。開発者は、自分の仕事に関連する実例を使った実践的なトレーニングにもっと重点を置いてほしいと述べています(30%)。また、回答者の26%は、よりインタラクティブなトレーニングが重要だと考えており、特に、トレーニングの一環としてセキュアコードを実際に書く練習ができることが重要だと回答しています。
調査対象の開発者の23%は、自分の業界や分野で遭遇する可能性の高い特定の脆弱性に焦点を当てたガイド付きトレーニングを受けることを望んでおり、22%は、トレーニングにおいて実際の脆弱性の例をもっと見ることを望んでいます。courses 。
静的で非インタラクティブなトレーニングを提供するだけでは(一般にコンプライアンス・トレーニングで経験すること)、開発者のセキュリティスキルを繰り返し向上させるという点ではほとんど価値がないことは明らかである。その代わりに、組織は、開発者が仕事をしながらセキュリティについて学ぶ、ジャストインタイム・トレーニングのようなものに焦点を当てるべきである。また、段階的な学習プログラムの導入も検討すべきです。
段階的アプローチでは、大きなトピックは通常、個別の学習体験やコンセプトに分割されます。開発者が進歩するにつれて、より高度なコンセプトがすでに習得したコンセプトの上に重ねられます。これは、ビルが高くなるにつれて物理的な足場が組まれるのと同じです。これは、サイバーセキュリティのような難解で常に進化するトピックを教えるための実証済みの方法であり、最初に小さく複雑でない塊に分解し、その基礎の上にさらに複雑なものを構築します。
開発者向けセキュリティ・スキル・プログラムのアプローチをどのように決定するにしても、コンプライアンス教育とは切り離して考えることが重要です。コンプライアンスとセキュリティトレーニングはどちらも重要であり、成功するためにはそれぞれ異なるアプローチが必要です。
参考資料
ホワイトペーパーソフトウェア・セキュリティ向上のための課題(および機会)。
ホワイトペーパーソフトウェア・セキュリティに対する予防的な開発者のアプローチ。
報告します。開発者主導のセキュリティのあり方。
企業が業界の枠組みや政府の規制の範囲内にあることを確認するための最初の認証プロセスであれ、毎年の要件やレビューの一部であれ、最近ではほとんどすべての開発チームが何らかの形でコンプライアンス・トレーニングを採用しています。なぜなら、組織が基本的なコンプライアンス要件を満たすことができなければ、従業員は現実的に職務を遂行することができないからです。
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warrior は、セキュアなコードを書くためのスキルを開発者に提供することで、セキュリ ティを重視する開発者文化を構築する。当社の主力製品であるアジャイルLearning Platform は、開発者がセキュアなコードを記述するためのスキルを短期間で習得し、構築し、適用できるように、適切なスキルに基づくパスウェイ、実践的なmissions 、状況に応じたツールを提供します。
企業が業界の枠組みや政府の規制の範囲内にあることを確認するための最初の認証プロセスであれ、毎年の要件やレビューの一部であれ、最近ではほとんどすべての開発チームが何らかの形でコンプライアンス・トレーニングを採用しています。なぜなら、組織が基本的なコンプライアンス要件を満たすことができなければ、従業員は現実的に職務を遂行することができないからです。
コンプライアンスに関する規則が存在するのには理由があります。これらの規則が適用される分野で働く人は、関連するすべてのプロセスと手順、および適用されるすべての法律について、少なくとも基本的な理解を持っている必要があるからです。
コンプライアンスのトレーニングは重要ですが、義務付けられた最低限の要件を満たすだけでは、真のアプリケーションセキュリティを確保することはできません。これは、特に、セキュアなコーディングスキルを日々のワークフローに組み込もうとする開発者に当てはまります。ほぼすべての開発者が何らかの形でコンプライアンス・トレーニングを受けているにもかかわらず、67%の開発者が自分のコードに脆弱性を残すことが多いと認めています。
なぜ?
2年目となるSecure Code Warrior は、2021年12月にEvans Data Corpと共同で「開発者主導型セキュリティの現状調査、2022」を実施しました。グローバルで1,200人の開発者を対象に、セキュアコーディングの実践に関するスキル、認識、行動、およびソフトウェア開発ライフサイクル(SDLC)における影響と関連性の認識について調査しました。
コンプライアンス教育がなぜソフトウェアセキュリティの向上を達成できないかという点については、以前から言われている問題である。今回の調査は、この問題にスポットライトを当てたに過ぎない。
一方で、開発者は、アプリケーションやプログラムのコードを最初に書くときを含め、ソフトウェア開発プロセス全体にサイバーセキュリティを含めることで、新しい役割にステップアップすることを要求されています。しかし、安全なコードを書くこと、あるいはそれに影響を与える可能性のあるサイバーセキュリティの問題や脆弱性についてすべて学ぶことは、簡単なことではありません。この調査では、開発者の63%が安全なコードを書くことは難しいことだと回答しています。
安全なコードを書くことの難しさは、驚くべきことではありません。多くの高収入のサイバーセキュリティの仕事が実現されないのには理由があり、最後に数えたところでは、世界で350万人以上が募集されています。もしそれが簡単な仕事なら、誰もがその分野に飛び込んでいるはずです。脅威と戦い、コード内の脆弱性を排除する方法を学ぶことは困難であり、脅威の状況は常に変化しています。静的なコンプライアンス・トレーニングや1回限りの講習では、開発者が必要とする教育にはついていけませんし、提供することもできません。また、開発者が安全なコードを書くことや、コードの脆弱性を発見して修正するスキルを身につけることもできません。
コンプライアンスとセキュリティ教育は重要だが、異なるものである
組織は、コンプライアンス教育で何ができ、何ができないかを認識し、認識し始める必要があります。特に法律で義務付けられている場合は、コンプライアンス・トレーニングを放棄してはならない。また、特に(現在のトレーニング方法であっても)調査回答者の92%が、コンプライアンス関連の問題やセキュリティの枠組みについて少なくとも何らかのトレーニングが必要であると回答し、50%が重要なコンプライアンストレーニングの必要性を強調しているためです。
トレーニングに最も関心のあるコンプライアンス・フレームワークには、さまざまな業界に特化したものが含まれていますが、一般的なサイバーセキュリティ・フレームワークもいくつかリストアップされています。その中には、CIS Security Framework、PCI DSS、OWASP Top 10、MISRA C、ISO/IEC、HIPAA (Health Insurance Portability and Accountability Act) などのフレームワークが含まれています。
しかし、コンプライアンス研修でチェックボックスをチェックすることは、セキュアなコードを継続的に作成するための基盤を提供することと同じではないことを理解してください。
その代わり、コンプライアンス研修は、開発者のセキュアコーディングスキルを向上させる継続的な機会の一部として捉え、コンプライアンスサイクル以外でも繰り返し行うことで、開発者が日々安全なソフトウェアを作成し、リリースできるようにすることができます。優先順位をコンプライアンスの達成から、開発チームが継続的に学習してセキュアなコーディングを行えるようにすることにシフトする。開発者の能力開発に時間とリソースを投資することで、毎年行われるコンプライアンスに関するチェックボックス式の練習や試験を簡単にクリアできるようになり、全体的な生産性の向上にもつながります。
開発者主導のセキュリティに移行するにはどうすればよいのでしょうか。
開発者は、トレーニングは重要であると圧倒的に答えましたが、セキュアコーディングに関して長年受けてきたトレーニングのタイプに問題があるとしました。開発者は、自分の仕事に関連する実例を使った実践的なトレーニングにもっと重点を置いてほしいと述べています(30%)。また、回答者の26%は、よりインタラクティブなトレーニングが重要だと考えており、特に、トレーニングの一環としてセキュアコードを実際に書く練習ができることが重要だと回答しています。
調査対象の開発者の23%は、自分の業界や分野で遭遇する可能性の高い特定の脆弱性に焦点を当てたガイド付きトレーニングを受けることを望んでおり、22%は、トレーニングにおいて実際の脆弱性の例をもっと見ることを望んでいます。courses 。
静的で非インタラクティブなトレーニングを提供するだけでは(一般にコンプライアンス・トレーニングで経験すること)、開発者のセキュリティスキルを繰り返し向上させるという点ではほとんど価値がないことは明らかである。その代わりに、組織は、開発者が仕事をしながらセキュリティについて学ぶ、ジャストインタイム・トレーニングのようなものに焦点を当てるべきである。また、段階的な学習プログラムの導入も検討すべきです。
段階的アプローチでは、大きなトピックは通常、個別の学習体験やコンセプトに分割されます。開発者が進歩するにつれて、より高度なコンセプトがすでに習得したコンセプトの上に重ねられます。これは、ビルが高くなるにつれて物理的な足場が組まれるのと同じです。これは、サイバーセキュリティのような難解で常に進化するトピックを教えるための実証済みの方法であり、最初に小さく複雑でない塊に分解し、その基礎の上にさらに複雑なものを構築します。
開発者向けセキュリティ・スキル・プログラムのアプローチをどのように決定するにしても、コンプライアンス教育とは切り離して考えることが重要です。コンプライアンスとセキュリティトレーニングはどちらも重要であり、成功するためにはそれぞれ異なるアプローチが必要です。
参考資料
ホワイトペーパーソフトウェア・セキュリティ向上のための課題(および機会)。
ホワイトペーパーソフトウェア・セキュリティに対する予防的な開発者のアプローチ。
報告します。開発者主導のセキュリティのあり方。
企業が業界の枠組みや政府の規制の範囲内にあることを確認するための最初の認証プロセスであれ、毎年の要件やレビューの一部であれ、最近ではほとんどすべての開発チームが何らかの形でコンプライアンス・トレーニングを採用しています。なぜなら、組織が基本的なコンプライアンス要件を満たすことができなければ、従業員は現実的に職務を遂行することができないからです。
コンプライアンスに関する規則が存在するのには理由があります。これらの規則が適用される分野で働く人は、関連するすべてのプロセスと手順、および適用されるすべての法律について、少なくとも基本的な理解を持っている必要があるからです。
コンプライアンスのトレーニングは重要ですが、義務付けられた最低限の要件を満たすだけでは、真のアプリケーションセキュリティを確保することはできません。これは、特に、セキュアなコーディングスキルを日々のワークフローに組み込もうとする開発者に当てはまります。ほぼすべての開発者が何らかの形でコンプライアンス・トレーニングを受けているにもかかわらず、67%の開発者が自分のコードに脆弱性を残すことが多いと認めています。
なぜ?
2年目となるSecure Code Warrior は、2021年12月にEvans Data Corpと共同で「開発者主導型セキュリティの現状調査、2022」を実施しました。グローバルで1,200人の開発者を対象に、セキュアコーディングの実践に関するスキル、認識、行動、およびソフトウェア開発ライフサイクル(SDLC)における影響と関連性の認識について調査しました。
コンプライアンス教育がなぜソフトウェアセキュリティの向上を達成できないかという点については、以前から言われている問題である。今回の調査は、この問題にスポットライトを当てたに過ぎない。
一方で、開発者は、アプリケーションやプログラムのコードを最初に書くときを含め、ソフトウェア開発プロセス全体にサイバーセキュリティを含めることで、新しい役割にステップアップすることを要求されています。しかし、安全なコードを書くこと、あるいはそれに影響を与える可能性のあるサイバーセキュリティの問題や脆弱性についてすべて学ぶことは、簡単なことではありません。この調査では、開発者の63%が安全なコードを書くことは難しいことだと回答しています。
安全なコードを書くことの難しさは、驚くべきことではありません。多くの高収入のサイバーセキュリティの仕事が実現されないのには理由があり、最後に数えたところでは、世界で350万人以上が募集されています。もしそれが簡単な仕事なら、誰もがその分野に飛び込んでいるはずです。脅威と戦い、コード内の脆弱性を排除する方法を学ぶことは困難であり、脅威の状況は常に変化しています。静的なコンプライアンス・トレーニングや1回限りの講習では、開発者が必要とする教育にはついていけませんし、提供することもできません。また、開発者が安全なコードを書くことや、コードの脆弱性を発見して修正するスキルを身につけることもできません。
コンプライアンスとセキュリティ教育は重要だが、異なるものである
組織は、コンプライアンス教育で何ができ、何ができないかを認識し、認識し始める必要があります。特に法律で義務付けられている場合は、コンプライアンス・トレーニングを放棄してはならない。また、特に(現在のトレーニング方法であっても)調査回答者の92%が、コンプライアンス関連の問題やセキュリティの枠組みについて少なくとも何らかのトレーニングが必要であると回答し、50%が重要なコンプライアンストレーニングの必要性を強調しているためです。
トレーニングに最も関心のあるコンプライアンス・フレームワークには、さまざまな業界に特化したものが含まれていますが、一般的なサイバーセキュリティ・フレームワークもいくつかリストアップされています。その中には、CIS Security Framework、PCI DSS、OWASP Top 10、MISRA C、ISO/IEC、HIPAA (Health Insurance Portability and Accountability Act) などのフレームワークが含まれています。
しかし、コンプライアンス研修でチェックボックスをチェックすることは、セキュアなコードを継続的に作成するための基盤を提供することと同じではないことを理解してください。
その代わり、コンプライアンス研修は、開発者のセキュアコーディングスキルを向上させる継続的な機会の一部として捉え、コンプライアンスサイクル以外でも繰り返し行うことで、開発者が日々安全なソフトウェアを作成し、リリースできるようにすることができます。優先順位をコンプライアンスの達成から、開発チームが継続的に学習してセキュアなコーディングを行えるようにすることにシフトする。開発者の能力開発に時間とリソースを投資することで、毎年行われるコンプライアンスに関するチェックボックス式の練習や試験を簡単にクリアできるようになり、全体的な生産性の向上にもつながります。
開発者主導のセキュリティに移行するにはどうすればよいのでしょうか。
開発者は、トレーニングは重要であると圧倒的に答えましたが、セキュアコーディングに関して長年受けてきたトレーニングのタイプに問題があるとしました。開発者は、自分の仕事に関連する実例を使った実践的なトレーニングにもっと重点を置いてほしいと述べています(30%)。また、回答者の26%は、よりインタラクティブなトレーニングが重要だと考えており、特に、トレーニングの一環としてセキュアコードを実際に書く練習ができることが重要だと回答しています。
調査対象の開発者の23%は、自分の業界や分野で遭遇する可能性の高い特定の脆弱性に焦点を当てたガイド付きトレーニングを受けることを望んでおり、22%は、トレーニングにおいて実際の脆弱性の例をもっと見ることを望んでいます。courses 。
静的で非インタラクティブなトレーニングを提供するだけでは(一般にコンプライアンス・トレーニングで経験すること)、開発者のセキュリティスキルを繰り返し向上させるという点ではほとんど価値がないことは明らかである。その代わりに、組織は、開発者が仕事をしながらセキュリティについて学ぶ、ジャストインタイム・トレーニングのようなものに焦点を当てるべきである。また、段階的な学習プログラムの導入も検討すべきです。
段階的アプローチでは、大きなトピックは通常、個別の学習体験やコンセプトに分割されます。開発者が進歩するにつれて、より高度なコンセプトがすでに習得したコンセプトの上に重ねられます。これは、ビルが高くなるにつれて物理的な足場が組まれるのと同じです。これは、サイバーセキュリティのような難解で常に進化するトピックを教えるための実証済みの方法であり、最初に小さく複雑でない塊に分解し、その基礎の上にさらに複雑なものを構築します。
開発者向けセキュリティ・スキル・プログラムのアプローチをどのように決定するにしても、コンプライアンス教育とは切り離して考えることが重要です。コンプライアンスとセキュリティトレーニングはどちらも重要であり、成功するためにはそれぞれ異なるアプローチが必要です。
参考資料
ホワイトペーパーソフトウェア・セキュリティ向上のための課題(および機会)。
ホワイトペーパーソフトウェア・セキュリティに対する予防的な開発者のアプローチ。
報告します。開発者主導のセキュリティのあり方。
以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約する
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warrior は、セキュアなコードを書くためのスキルを開発者に提供することで、セキュリ ティを重視する開発者文化を構築する。当社の主力製品であるアジャイルLearning Platform は、開発者がセキュアなコードを記述するためのスキルを短期間で習得し、構築し、適用できるように、適切なスキルに基づくパスウェイ、実践的なmissions 、状況に応じたツールを提供します。
企業が業界の枠組みや政府の規制の範囲内にあることを確認するための最初の認証プロセスであれ、毎年の要件やレビューの一部であれ、最近ではほとんどすべての開発チームが何らかの形でコンプライアンス・トレーニングを採用しています。なぜなら、組織が基本的なコンプライアンス要件を満たすことができなければ、従業員は現実的に職務を遂行することができないからです。
コンプライアンスに関する規則が存在するのには理由があります。これらの規則が適用される分野で働く人は、関連するすべてのプロセスと手順、および適用されるすべての法律について、少なくとも基本的な理解を持っている必要があるからです。
コンプライアンスのトレーニングは重要ですが、義務付けられた最低限の要件を満たすだけでは、真のアプリケーションセキュリティを確保することはできません。これは、特に、セキュアなコーディングスキルを日々のワークフローに組み込もうとする開発者に当てはまります。ほぼすべての開発者が何らかの形でコンプライアンス・トレーニングを受けているにもかかわらず、67%の開発者が自分のコードに脆弱性を残すことが多いと認めています。
なぜ?
2年目となるSecure Code Warrior は、2021年12月にEvans Data Corpと共同で「開発者主導型セキュリティの現状調査、2022」を実施しました。グローバルで1,200人の開発者を対象に、セキュアコーディングの実践に関するスキル、認識、行動、およびソフトウェア開発ライフサイクル(SDLC)における影響と関連性の認識について調査しました。
コンプライアンス教育がなぜソフトウェアセキュリティの向上を達成できないかという点については、以前から言われている問題である。今回の調査は、この問題にスポットライトを当てたに過ぎない。
一方で、開発者は、アプリケーションやプログラムのコードを最初に書くときを含め、ソフトウェア開発プロセス全体にサイバーセキュリティを含めることで、新しい役割にステップアップすることを要求されています。しかし、安全なコードを書くこと、あるいはそれに影響を与える可能性のあるサイバーセキュリティの問題や脆弱性についてすべて学ぶことは、簡単なことではありません。この調査では、開発者の63%が安全なコードを書くことは難しいことだと回答しています。
安全なコードを書くことの難しさは、驚くべきことではありません。多くの高収入のサイバーセキュリティの仕事が実現されないのには理由があり、最後に数えたところでは、世界で350万人以上が募集されています。もしそれが簡単な仕事なら、誰もがその分野に飛び込んでいるはずです。脅威と戦い、コード内の脆弱性を排除する方法を学ぶことは困難であり、脅威の状況は常に変化しています。静的なコンプライアンス・トレーニングや1回限りの講習では、開発者が必要とする教育にはついていけませんし、提供することもできません。また、開発者が安全なコードを書くことや、コードの脆弱性を発見して修正するスキルを身につけることもできません。
コンプライアンスとセキュリティ教育は重要だが、異なるものである
組織は、コンプライアンス教育で何ができ、何ができないかを認識し、認識し始める必要があります。特に法律で義務付けられている場合は、コンプライアンス・トレーニングを放棄してはならない。また、特に(現在のトレーニング方法であっても)調査回答者の92%が、コンプライアンス関連の問題やセキュリティの枠組みについて少なくとも何らかのトレーニングが必要であると回答し、50%が重要なコンプライアンストレーニングの必要性を強調しているためです。
トレーニングに最も関心のあるコンプライアンス・フレームワークには、さまざまな業界に特化したものが含まれていますが、一般的なサイバーセキュリティ・フレームワークもいくつかリストアップされています。その中には、CIS Security Framework、PCI DSS、OWASP Top 10、MISRA C、ISO/IEC、HIPAA (Health Insurance Portability and Accountability Act) などのフレームワークが含まれています。
しかし、コンプライアンス研修でチェックボックスをチェックすることは、セキュアなコードを継続的に作成するための基盤を提供することと同じではないことを理解してください。
その代わり、コンプライアンス研修は、開発者のセキュアコーディングスキルを向上させる継続的な機会の一部として捉え、コンプライアンスサイクル以外でも繰り返し行うことで、開発者が日々安全なソフトウェアを作成し、リリースできるようにすることができます。優先順位をコンプライアンスの達成から、開発チームが継続的に学習してセキュアなコーディングを行えるようにすることにシフトする。開発者の能力開発に時間とリソースを投資することで、毎年行われるコンプライアンスに関するチェックボックス式の練習や試験を簡単にクリアできるようになり、全体的な生産性の向上にもつながります。
開発者主導のセキュリティに移行するにはどうすればよいのでしょうか。
開発者は、トレーニングは重要であると圧倒的に答えましたが、セキュアコーディングに関して長年受けてきたトレーニングのタイプに問題があるとしました。開発者は、自分の仕事に関連する実例を使った実践的なトレーニングにもっと重点を置いてほしいと述べています(30%)。また、回答者の26%は、よりインタラクティブなトレーニングが重要だと考えており、特に、トレーニングの一環としてセキュアコードを実際に書く練習ができることが重要だと回答しています。
調査対象の開発者の23%は、自分の業界や分野で遭遇する可能性の高い特定の脆弱性に焦点を当てたガイド付きトレーニングを受けることを望んでおり、22%は、トレーニングにおいて実際の脆弱性の例をもっと見ることを望んでいます。courses 。
静的で非インタラクティブなトレーニングを提供するだけでは(一般にコンプライアンス・トレーニングで経験すること)、開発者のセキュリティスキルを繰り返し向上させるという点ではほとんど価値がないことは明らかである。その代わりに、組織は、開発者が仕事をしながらセキュリティについて学ぶ、ジャストインタイム・トレーニングのようなものに焦点を当てるべきである。また、段階的な学習プログラムの導入も検討すべきです。
段階的アプローチでは、大きなトピックは通常、個別の学習体験やコンセプトに分割されます。開発者が進歩するにつれて、より高度なコンセプトがすでに習得したコンセプトの上に重ねられます。これは、ビルが高くなるにつれて物理的な足場が組まれるのと同じです。これは、サイバーセキュリティのような難解で常に進化するトピックを教えるための実証済みの方法であり、最初に小さく複雑でない塊に分解し、その基礎の上にさらに複雑なものを構築します。
開発者向けセキュリティ・スキル・プログラムのアプローチをどのように決定するにしても、コンプライアンス教育とは切り離して考えることが重要です。コンプライアンスとセキュリティトレーニングはどちらも重要であり、成功するためにはそれぞれ異なるアプローチが必要です。
参考資料
ホワイトペーパーソフトウェア・セキュリティ向上のための課題(および機会)。
ホワイトペーパーソフトウェア・セキュリティに対する予防的な開発者のアプローチ。
報告します。開発者主導のセキュリティのあり方。
目次
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約するダウンロード
.png)
